阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 7773阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞

级别: 论坛版主
发帖
241
云币
478
B.G6vx4yp  
2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 $XQgat@&]  
具体详情如下: ]4H)GWHKg  

G"F O%3&|  
漏洞编号: IzTJ7E*i  
CVE-2018-5711 )&O2l  
漏洞名称: 2@tnOs(*  
PHP GD库拒绝服务漏洞 kMVr[q,MEq  
官方评级: 0C :8X   
高危 A^z{n/DiL  
漏洞描述: XF(D%ygeC  
利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 iG54 +]  
漏洞利用条件和方式: "G@K(bnHn  
通过PoC直接远程利用。 qa^cJ1@  
PoC状态: B%\&Q @X  
已公开 {FFdMdxy-  
漏洞影响范围: [+D]!&P  
( /I6Wa  
  • PHP 5     < 5.6.33版本
  • PHP 7.0  < 7.0.27版本
  • PHP 7.1  < 7.1.13版本
  • PHP 7.2  < 7.2.1版本
D{JjSky  
漏洞检测: WCsf_1  
开发人员检查是否使用了受影响版本范围内的PHP版本。 VrRF2(Kn?  
漏洞修复建议(或缓解措施): L/rf5||@  
目前PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 4:rwzRDY  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 ~o_JZ:  
情报来源: 14'\@xJMM  
  • http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
  • http://php.net/
zk{d*gN  
."ZG0Zg  
d?X,od6  
< ?B3^z$  
ra'/~^9  
'=$`NG8 l  
]#G s6CsT|  
H14Q-2U1xa  
$3"hOEN@5`  
\Vx^u}3O  
[E p'm  
f>6{tI 5X  
f%EHzm/V  
Chnt)N`/B4  
Dc0=gq0  
*>W<n1r@]  
.;7V]B1o  
fd *XK/h  
t>"`rcg  
e;XRH<LhAU  
_3%$E.Q  
2!-Q!c`y  
cVx SO`jZw  
7_oUuNw  
级别: 架构狮
发帖
1217
云币
1946
只看该作者 沙发  发表于: 2018-01-31
      
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)